Analysis Tools: простой и наглядный выбор сканеров!

Всем привет!

Вопрос выбора инструментов анализа исходного кода может… привести в тупик! Ведь их так много (как кажется на первый взгляд).

Чтобы стало немного проще, рекомендуем обратить внимание на ресурс Analysis Tools. В нем собрана информация как об open source, так и об enterprise-решениях. И слово «анализ» тут понимается в широком смысле – линтеры, ИБ-проверки, formatters, анализ качества кода и т.д.

Воспользоваться ресурсом просто:
🍭 Выбираем язык(и)
🍭 Интересующий нас тип анализа
🍭 Способ взаимодействия (CLI, SaaS, IDE-plugin)
🍭 Тип лицензии
🍭 Стоимость (если надо) и… готово!

Интересно, что в результирующем списке можно посмотреть количество «голосов», которые отданы тому или иному решению. Вдобавок – краткое описание и сведения о том поддерживается проект или нет (для open source).

При выборе понравившегося решения предоставляется информация о сайте, repo, GitHub-звездах, небольшой обзор решения и возможные альтернативы на замену.
Выглядит вполне интересно и полезно! 😊

P.S. А если не хочется сайтов и фильтров, но материал интересен – можно обратиться к repo проекта

Обновление фреймворка DAF

Всем привет!

Рады сообщить вам, что вышло обновление фреймворка DAF! В новом релизе мы
🍗 пересмотрели часть практик и их расположение в уровнях зрелости;
🍗 актуализировали маппинг практик DAF на фреймворк BSIMM;
🍗 обновили Пирамиду зрелости (ex - Кирилламида);
🍗 добавили список документов для организации процессов безопасной разработки с предполагаемыми разделами в каждом из них;
🍗 исправили опечатки, баги.

Также мы будем очень рады, если вы присоединитесь к совершенствованию DAF и станете его контрибьютором.
Для публикации обновлений и обсуждения фреймворка создали канал и чат соответственно - https://news.1rj.ru/str/DevSecOps_Assessment_Framework 🙂

И еще небольшая просьба: если вы используете наш фреймворк в коммерческих целях, в разработке локальных или государственных нормативных актов, в маркетинговых или иных публичных целях, если рассказываете об этом фреймворке в статьях или на конференциях — сообщайте, пожалуйста, нам (например, в чат или просто в почту).

Лабораторные по Kubernetes: Security

Всем привет!

Сегодня предлагаем вам несколько материалов «на выходные», посвященных практическим вопросам обеспечения ИБ Kubernetes!

Первая статья подготовлена специалистами Palark и в ней приведен разбор задач (easy), доступных в Simulator. Simulator – CTF для Kubernetes, в котором собран набор сценариев, цель которых – решить задачку и найти флаг.

При прохождении Simulator Авторы затрагивают такие темы как:
🍭 Горизонтальное перемещение в кластере Kubernetes
🍭 Работа с ролевой моделью Kubernetes
🍭 Создание «bad pod», получение доступа к контейнеру
🍭 Изменение Network Policy и многое другое

Второй ресурс – новая «комната» проекта TryHackMe: уровень сложности – Medium, время на прохождение около 60 минут.

В комнате собраны задачи и вопросы по темам: ServiceAccounts, RBAC, Api Requests in k8s, Image Scanning и не только. Материал более теоретический, но все равно может быть интересным 😊

Отличного обучения и прекрасных вам выходных!

Что делать, если удалил cluster-admin?

Всем привет!

Статья для понедельника, чтобы немного взбодриться! 😊Так получилось, что Автор статьи удалил роль cluster-admin и ее RoleBinding. Как такое может быть? Случаи бывают разные… (но если интересно, то в статье есть ответ, как это получилось именно у него)

И все же, что же делать в подобной ситуации?

Выходов немного, но они есть. Например:
🍭 Найти ServiceAccount, который обладает повышенными привилегиями в кластере
🍭 Получить его ServiceAccount Token
🍭 Создать cluster-admin (Role и RoleBinding заново) с использованием вышеуказанного Token

Но как быть, если привилегированной сервисной учетной записи нет? Хороший вопрос. Возможно, ответом станет "прямая запись в etcd" или поиск недавнего backup.

Возможно, вы сталкивались с таким – будем рады, если поделитесь опытом в комментариях 😊

Traceeshark: новый open source от Aqua Security

Всем привет!

Недавно коллекция open source утилит, разрабатываемых и поддерживаемых Aqua Security добавилась еще одна – Traceeshark!

Она представляет из себя некий посредник между Tracee и Wireshark: берем результаты работы первой утилиты в *.json, направляем во вторую и анализируем в «привычном интерфейсе».

После установки Traceeshark в Wireshark появятся 4 дополнительных плагина:
🍭 Tracee logs reader. Поддержка результатов работы Tracee в формате *.json
🍭 Tracee logs analyzer. Возможность работы с Tracee logs – фильтрация, агрегация данных
🍭 Tracee packet reader. Анализ сетевых пакетов, «записанных» Tracee
🍭 Live capture. Запись событий, генерируемых Tracee, «в прямом эфире»

Подробнее о том, как это работает можно прочесть в статье и, конечно же, в repo самого проекта.

Six Pillars of DevSecOps

Всем привет!

В приложении доступен обзор целой серии материалов от Cloud Security Alliance (CSA), посвященных DevSecOps.

Согласно мнению CSA есть 6 «столпов» DevSecOps:
🍭 Collective Responsibility. Изменение mindset, упрощение взаимодействия команд, евангелизм и т.д.
🍭 Collaboration and Integration. Взаимная помощь, обучение и понимание сторонами своих «соседей»
🍭 Pragmatic Implementation. Выбор оптимального и адаптивного набора решений для автоматизации процессов безопасной разработки (в противовес one size fits all подходу)
🍭 Bridging Compliance and Development. Хотим мы того или нет, но регуляторные требования существуют и их надо выполнять. В том числе при разработке безопасного ПО
🍭 Automation. Автоматизация проверок безопасности при разработке ПО
🍭 Measure, Monitor, Report and Action. Метрики, метрики, метрики и улучшайзинг

В самом обзоре нет детализации по тому, как и что можно делать для реализации описанных выше «столпов».

Однако, есть и хорошие новости! Для каждого «столпа» есть свой собственный документ 😊 Их мы направим в следующем посте.

Приятного вам чтения и изучения!

А вот эти самые документы ☺️

Шутки про голландский штурвал в сторону!

Всем привет!

У коллег из "Лаборатории числитель" на этой неделе вышла в свет новая версия платформы «Штурвал» 2.7.0.

Среди интересных новинок для себя подметили:
🍭 Управление группами узлов в рамках кластера (мастер-ноды, воркер-ноды, инфраструктурные ноды, ingress-ноды)
🍭 Обновленная RBАС модель с возможностью создания кастомных ролей
🍭 Поиск пользователей по службе каталогов при назначении прав доступа
🍭 Авторизация в клиентском кластере из интерфейса командной строки
🍭 Управление seccomp-профилями в нагрузках и на узлах
🍭 Поддержка РЕД ОС 8

Подробности о релизе: https://docs.shturval.tech/2.7/docs/releases/release2_7_0/

Запишитесь на демо новой версии или возьмите платформу на тест здесь 😎

Как реализовать мониторинг containerd?

Всем привет!

Сегодня хотим поделиться с вами статьей, название которой немного обманчиво, но содержание – крайне интересно!

Не поймите неправильно: информация про то как можно реализовать мониторинг containerd есть, но перед этим есть кое-что очень интересное! 😊

А именно:
🍭 Что такое containerd и зачем он нужен
🍭 Архитектура containerd с описанием некоторых значимых plugins (кстати, там еще можно посмотреть, как запустить контейнер через runc)
🍭 Схемы взаимодействия plugins между собой
🍭 Взаимодействие kubelet и containerd. Наверное, вы встречали в логах kublet нечто вроде RunPodSandbox() , PullImage(), StartContainer() и т.д.
🍭 И только после этого – информация о том, как мониторить containerd

Таким образом, статья позволит лучше погрузиться в то, что на самом деле (ну почти) запускает контейнеры, как оно устроено 😊

P.S. А еще там есть наглядная схема процесса взаимодействия kubelet - containerd при создании контейнера!

Использование DevTools для идентификации Leaked Credentials

Всем привет!

Иногда кажется, что для анализа ПО и поиска, например, секретов необходимы специализированные инструменты, без которых «ну вообще никак»!

Да, они упрощают (хотя иногда с точностью до наоборот) жизнь, но! Иногда можно обойтись тем, что «есть под рукой». Например, DevTools.

В repo есть небольшая инструкция, которая показывает, как можно искать Leaked Credentials с использованием DevTools и Burp.

Все просто:
🍭 Открыть DevTools, выбрать вкладку «Network»
🍭 Включить поиск по RegEx
🍭 Обновить страницу
🍭 Применить регулярное выражение (есть в repo). Voila!

Да, далеко не панацея, но не требует практически ни-че-го 😊 И это далеко не все сценарии использования DevTools для анализа безопасности web-приложений. Но об этом мы расскажем чуть позже!

RUN, CMD и ENTRYPOINT: в чем разница?

Всем привет!

При работе с образами контейнеров (сборка, запуск) вы с очень большой вероятностью встретите 3 инструкции – RUN, CMD и ENTRYPOINT. На первый взгляд, они достаточно похожи, но разница есть.

В статье Автор лаконично объясняет в чем эта разница состоит:
🍭 RUN. Выполняется во время сборки, создает новый слой контейнера
🍭 CMD. «Команда по умолчанию» при запуске контейнера. Может быть переопределена docker run -it smth
🍭 ENTRYPOINT. «Запускаемый по умолчанию исполняемый файл». Да, тоже может быть переопределен, но чуть иначе

Более полное описание можно найти в статье. Помимо этого, в ней есть интересные особенности работы с исполняемыми файлами и их аргументами – Shell и Exec формы.

И да! Разница между echo TEST (Shell-форма) и [“echo”, “TEST”] (Exec-форма) есть 😊 И связана она с PID №1. А как именно – рекомендуем прочесть в статье, весьма интересно!

А еще в статье есть схемы, примеры и «тестирование», которое подсвечивает возможные нюансы и особенности работы RUN, CMD и ENTRYPOINT.

GuardDog: версия 2.0!

Всем привет!

Недавно вышло обновление GuardDog – GuardDog: 2.0! Если просто, то это анализатор, который позволяет идентифицировать вредоносные пакеты (PyPi и npm) за счет анализа исходного кода и метаданных о пакете.

В версии 2.0 добавили следующий функционал:
🍭 Поддержка YARA-правил
🍭 Поддержка custom Semgrep-правил
🍭 «Базовая» поддержка экосистемы Golang

В статье можно ознакомиться с примерами использования YARA и custom Semgrep-правил и узнать больше про нововведения, описанные выше.

P.S. Если хочется узнать больше про GuardDog, то можно ознакомиться с вот этими постами, которые мы писали ранее: раз и два 😊

Seccomp: Deep Dive!

Всем привет!

"Все уже придумано, зачем еще что-то придумывать!" Наверное, в этой фразе есть смысл, но если следовать ей дословно, то какой-либо прогресс был бы невозможен 😊

Однако, доля истины в ней есть и Linux предоставляет множество ИБ-функций «из коробки».

Одной из таких функций является Seccomp. Если просто – то это «нечто», что позволяет ограничивать или логировать системные вызовы, совершаемые процессом. Это дает контроль и может быть использовано для целей безопасности.

Нюанс заключается в том, что его «всего лишь надо настроить» и это не очень просто.

Чтобы лучше разобраться с тем, что такое Seccomp, как он работает и как им пользоваться предлагаем вам прочесть статью от команды Armo!
В ней Авторы рассказывают про:
🍭 Ключевые идеи и принципы, стоящие за Seccomp
🍭 Как использовать Seccomp
🍭 Что при этом происходит «под капотом» и как это связано с ядром Linux

Все это сопровождается отличными комментариями и примерами исходного кода на C.

Во второй части Авторы собираются раскрыть тему использования Seccomp применительно к контейнерным окружениям. Будем держать вас в курсе! 😊

CyberCamp 2024: 3-5 Октября, online!

Всем привет!

Открылась регистрация на CyberCamp 2024, который пройдет 3-5 октября. CyberCamp – это бесплатное онлайн мероприятие, посвященное информационной безопасности.

Доклады, теория, практика, мерч, мерч, мерч, мерч, мерч (а зачем еще нужны конференции? 😊)!!!

Можно участвовать как Хан! В Соло! Или собрать команду из 5-и человек и попробовать себя в интерактивных киберучениях!

Но! Не это главное! В этом году будет сразу несколько докладов, посвященных нашей любимой тематике – безопасной разработке и всему, что с ней связано!

Если вы не против, чтобы мы делали отдельные посты, посвященные спикерам и их докладам – ставьте 🔥. В противном случае – ставьте 🙈!!!

Все в ваших руках 😊 «Голосуем» сегодня до конца дня.

P.S. А еще у CyberCamp есть свой канал ) Никакой рекламы и spam, только информация о мероприятии )

eBPF в Kubernetes: из огня не в полымя

Всем привет!

Ну что же! Огонь победил обезьянок (как бы это странно не звучало)! И мы начинаем знакомить вас со спикерами CyberCamp 2024!

Открывает череду постов Алексей Рыбалко – специалист по защите контейнерных сред из Лаборатории Касперского!

«Безопасность сетевых потоков требует особенного подхода к их фильтрации: один пропущенный зловред, и корпоративная сеть может «сгореть» быстрее, чем потухнет одна спичка.

В своем докладе я расскажу, как в фильтрации потоков может помочь технология eBPF в связке с K8s, какие у нее есть нюансы: обработка мультисессий, непростые тонкости внедрения программы и другие особенности, которые при неосторожности могут превратить интеграцию фичи в настоящий пожар.

Материал будет интересен тем, кто хочет знать, как обуздать сетевую фильтрацию в K8s в самых «жарких» ситуациях и тем, кто хочет этому научиться» - описание доклада непосредственно от Алексея 😊

На наш взгляд доклад Алексея можно сравнить с фильмами Тарантино. Да, мест действия не так уж и много, но диалоги, суть, «напряжение», юмор и стиль… Все на месте! Рекомендуем к ознакомлению!